2. ± Ñ ± † ± ‘
2000 2004 2006 2008 2010 2013
Accesos a la red Threat IntelligenceMonitorización Fugas de datos CompartamosPerímetro
‘
2015
Endpoint
‘
2016
Generemos TI
Replanteamiento de amenazas
6. Evolución - I
• Cuidemos el perímetro
• Miremos qué encontramos fuera del perímetro
• TTPs
• Integración en elementos de seguridad
• A veces difícil de sacar provecho
• ¿Qué feeds elegimos?
• Centrados en el sector financiero
• Información de terceros – puede que no nos afecten
9. Evolución - II
• Compartamos información e inteligencia
• ¿De quién nos fiamos?
• Por grupos de confianza
• Sectores: FS-ISAC
• CERTs
• Diferentes por cultura y sector
• Nomenclatura común
• STIX / TAXII
• CyBOX
• OpenIOC
• Herramientas de compartición
• ThreatConnect, Soltra, MISP, CRITs
11. Manipulación
- Gurú
TTPs – Desafío
Herramientas – Difícil
Observables - Complicado
Dominios - Simple
Direcciones IP – Fácil
Hashes - Trivial
Autor: David Bianco
Pirámide del dolor
12. Pirámide del dolor
• Hashes de ficheros: rápidos de buscar; rápidos de modificar
• Direcciones IP: rápidas de utilizar; fácil de cambiar (VPNs, Tor, proxies, etc.)
• Dominios: fáciles de usar (cortafuegos, proxies, IDS, etc.); pudiera parecer que son más dañinos pero
vemos que usan dominios a su antojo o subdominios gratuitos.
• Observables de red y sistema operativo: aquí es cuando el dolor que podemos infligir es mayor. Este tipo
de observables son detalles que pueden identificar a nuestros adversarios o sus operaciones: ciertas
claves de registro, nombres de mutex, user-agents, emails utilizados en sus dominios o certificados,
patrones de tiempo, etc. Si conseguimos bloquear y detectar estos observables, nuestros atacantes
tendrán que dedicar tiempo para averiguar qué está pasando y solucionarlo.
• Herramientas: casi siempre nuestros atacantes utilizan las mismas herramientas a las que están
acostumbrados, con lo que si podemos bloquearlas les romperemos su flujo de trabajo. Por ejemplo,
herramientas como mimikatz, exploits-kits, troyanos etc. pueden ser detectadas utilizando reglas Yara o
fuzzy hashes.
• Tácticas, Técnicas y Procedimientos (TTPs): el punto más interesante. Si estamos respondiendo a este
nivel, operamos directamente contra el comportamiento y hábitos de nuestros atacantes, no contra sus
herramientas. Si somos capaces de afectar sus TTPs, les forzamos a lo que va a ser más costoso para
ellos: cambiar su modus operandi. Y muchas veces el resultado es que se van a dar por vencidos, a no ser
que seamos un objetivo crítico para ellos.
14. La realidad de los incidentes
• Mismo modus operandi:
• Investigación de empleados en redes sociales
• Envío de correos de spear-phishing a esos empleados o intentos de infección
• Acceso con credenciales robadas o equipos infectados a equipos y redes internas
• Uso de herramientas convencionales (no malware) para moverse lateralmente
• Robo de datos y exfiltración de los mismos.
17. Evolución - III
• Pasemos de utilizar threat intelligence de terceros, a combinar esa información con theat
intelligence generada por nosotros:
• Incidentes que nos están ocurriendo
• Atacantes que nos atacan
• IOCs que tenemos en nuestros sistemas
• ¿Cómo? Con el uso de defensa activa.
• Si los atacantes nos engañan y nos manipulan, ¿por qué no podemos – siempre dentro
de la legalidad – utilizar sus técnicas?
18. Defensa activa es:
1. conseguir que al atacante le sean
más costosos sus esfuerzos
2. aprovechar su momentum en
nuestro beneficio
18
19. Defensa activa es:
3. obtener la máxima información
del atacante
4. alertar de forma temprana
compromisos o fases iniciales de
un ataque
19
20. Ejemplo
20
Atacante Defensor
Negación Evitar que descubran el
ataque
Evitar que descubran su
objetivo
Engaño Engañar para que nos dejen
entrar
Engañar para que nos
revelen su presencia
Desvío Llamar la atención del
defensor en algo no
relacionado
Llamar la atención del
atacante en el objetivo
equivocado
Engaño Hacer pensar al defensor
que el ataque es no
sofisticado o no dirigido
Hacer pensar al atacante
que lo que están buscando
no está aquí
Engaño Hacer pensar al defensor
que el ataque está
controlado o finalizado
Hacer pensar al atacante
que ya han conseguido su
objetivo
Desvío Hacer pensar que el
atacante es otro
Hacer que el atacante
ataque a otro o que piensen
que se han equivocado de
objetivo
21. El papel del analista
• Debemos pasar de gestionar incidentes a gestionar adversarios.
• De pensar en parar ataques a pensar en hacer más costosos los ataques a
nuestros adversarios.
• Ser expertos en los TTPs de nuestros atacantes.
• Perfilado: organización, jerarquía, flujos de trabajo, financiación, localización, objetivos,
etc.
• Utilizar cada una de las fases de la famosa Cyber-KillChain® en nuestro beneficio:
• Entregando información falsa
• Poniendo trampas
• Buscando el fallo humano
• Conseguir atribución (tarea casi imposible)
22. Conclusiones
• Evolucionemos nuestra forma de investigar y parchear incidentes de seguridad para
focalizarnos en gestionar a nuestros adversarios.
• Utilicemos threat intelligence de forma ‘inteligente’ haciéndoles daño donde más les
duele.
• Usemos sus mismas armas, o aprovechemos la ventaja de que se encuentran en
nuestro terreno (algo que raramente se tiene en cuenta).
• La figura de los analistas de seguridad es clave para afrontar con éxito esta nueva
estrategia de seguridad; perfiles multi-disciplinares capaces de poder perfilar a los
atacantes, sí, pero que a la vez sean capaces de gestionar las campañas de engaño y
manipulación, siempre bajo la legalidad vigente.
23. Gracias por su atención
David Barroso
dbarroso@countercraft.eu
@lostinsecurity
Craft
Counter